20-22 декабря 2024 года состоялись финальные этапы Всероссийских соревнований по информационной безопасности «Кубок CTF России». Мероприятие проводится уже восьмой раз, его организаторами традиционно выступили Ассоциация руководителей служб информационной безопасности (АРСИБ) и Всероссийское общественное движение наставников детей и молодежи «Наставники России».
Формат
Отборочный этап соревнований состоялся 28-29 октября онлайн в формате task-based. По итогам лучшие команды были приглашены на полуфинал и финал, которые проходили очно 20-22 декабря на базе павильона ВДНХ «Умный город».
В этом году очный этап мероприятия проходил 3 дня подряд: в первый день были успешно проведен Школьный финал, во второй день состоялся Полуфинал Академического и Смешанного зачета, последний день выступил завершением соревнования в виде финала старших зачетов, а также торжественного награждения всех победителей.
География соревнований
В этом году на участие в Кубке зарегистрировались 517 команд, в том числе 24 из 11 зарубежных стран: Албании, Азербайджана, Китая, Индии, Индонезии, Казахстана, Кыргызстана, Монголии, Пакистана, Таиланда и Вьетнама, но одна команда по определенным причинам не смогла принять участие Особенно отличилась команда FR13NDS TEAM из Казахстана, которой вновь удалось попасть в топ-10 команд смешанного зачета и пройти в очный полуфинал. Внутри нашей страны в соревнованиях приняли участие команды из 63 субъектов и 117 населенных пунктов.
Количество образовательных организаций, которые представляли команды: 167 вузов, 51 СПО и 116 школ.
Атака на отборочный этап
В этом году были предприняты попытки сорвать проведение отборочного этапа мероприятия. Из-за массированной DDoS-атаки в самом начале игры платформа испытывала серьезные проблемы с доступностью. Для компенсации времени простоя организационный комитет Кубка принял решение продлить соревнование на два часа.
По данным технологического партнера мероприятия Solar Space, мощность DDOS-атаки составила более 4 000 000 запросов в минуту. Основной объем вредоносного трафика отправлялся с IP-адресов, базирующихся в России и США.
Были оперативно предприняты меры по нивелированию последствий атаки, созданы все условия для продолжения мероприятия.
DDoS-атака с различной интенсивностью продолжалась на протяжении всего Кубка, однако, это не помешало участникам показать свои силы в рамках соревнования.
Подробнее об атаке на игровую инфраструктуру Кубка VIII Кубка CTF России:
Старт турнира был назначен на 12.00 26.10.2024 и завершение на 12.00 27.10.2024.
Атака длилась 37 часов, старт атаки – 25 октября, около 23.00, до запуска соревнований.
До старта соревнований атаки были направлены на URL вида https://quals.ctfcup-2024.ru/, после старта запросы посыпались также на URL /scoreboard, /teams, /challenges.
Пик атаки пришелся на 12 часов 26 октября, после открытия и старта – около 762 тысяч запросов в секунду.
В связи с недоступностью инфраструктуры для участников из-за возникшей атаки было принято решение перенести старт соревнований на 14.00, согласовав с жюри, чтобы минимизировать ущерб от атаки и восстановить инфраструктуру, уведя все сервера за защиту.
На протяжении всего времени атаки использовался некий ботнет, преимущественно все запросы шли из России, но также в выборку попали еще 9 стран. Особенность атаки – использование подхода Cipher Stunting, который использует не стандартные шифровальные алгоритмы, что усложняет анализ вредоносного траффика.
После успешного отражения атаки на основные роуты – атака частично перешла с основного сайта на сервера задач, при этом запросы целенаправленно шли на порты задач, с целью забить канал и сделать задачи недоступными.
После пика атаки среднее количество запросов держалось в районе 500 тысяч запросов в секунду до конца игры.
Атака прекратилась ровно в 14.00 после окончания соревнования 27 октября.
О легенде
В течение 8 лет уникальной особенностью Кубка CTF является легенда — захватывающая сюжетная линия, в последние годы отрисованная в формате японских комиксов манга. Она связывает виртуальную часть истории с заданиями для команд, главная цель которых — борьба с киберпреступностью.
Легенда этого года развернулась вокруг московской айти-школы, оказавшейся прикрытием для цитадели белых хакеров. Кому киберзащитники перешли дорогу, смогли ли противостоять атакам, и причем здесь метавселенные и нейроинтерфейсы можно узнать на страницах манги: https://disk.yandex.ru/i/_6C2_K-HjAOnaw.
На финале часть героев комикса «ожила» на площадке в виде ростовых кукол, а также была сгенерирована с помощью искусственного интеллекта в самой игре.
Визуализация
Организаторы проекта ежегодно предоставить информацию о происходящем на площадке максимально наглядно и понятно. Традиционно в этом помогает анимированная визуализация, которая динамично отражает прогресс соревнований.
Визуализация была выполнена в единой стилистике легенды этого года. В отборочном этапе командам необходимо было зажигать свет в окнах панельного дома, которые «оживали» по мере выполнения заданий. В финале визуализация была представлена в формате умной доски внутри убежища белых хакеров.
Финальные этапы
Финальный этап Школьного зачета и Полуфинал Академического и Смешанного зачетов VIII Кубка CTF России проходили в формате Attack/Defence.
Attack-Defense CTF – это соревнование в реальном времени, где командам необходимо соревноваться друг с другом, атакуя и защищая сервисы.
20 декабря состоялось состязание десяти лучших команд Школьного зачета. Для них было подготовлены два сервиса с уязвимостями:
1. filtranator (автор @phoen1xxx) – сервис представляет собой приложение на Python (Flask), которое позволяет регистрироваться, логиниться и загружать картинки на сервер, после чего применять на них фильтры. Флаг хранится в поле flag в info метаданных каждой картинки, а также его можно прочитать c картинки напрямую. Также присутствует функциональность получения картинки для авторизованного пользователя.
Уязвимости:
● SQL injection в авторизации;
● Stack overflow в бинарном приложении filterer.
2. flysim (автор @user_9_9_9_9) – сервис представляет собой приложение на Python (Flask, SocketIO, gunicorn), симулирующее работу дронов: можно создать дрон, назначить ему скорость, полётный план (на какой секунде ускориться, поменять частоту) и наблюдать за его полётом. Наблюдение идёт через socket.io.
Флаг хранится в поле secret_data, и его можно узнать, лишь подключившись к дрону по socket.io с правильным control_key (штатным образом, без использования уязвимостей). Также присутствует функциональность получения всех созданных дронов (только id) и более детальный интерфейс (можно найти дрон с определённым label, причём получить все его данные за исключением приватных ("control_key", "secret_data", "flight_plan", "flight_log")).
Уязвимости:
● NoSQL injection в параметре what= (sploit_nosql.py). Помимо "$match", можнодописать и "$lookup", сматчив все строки ({"$match": {"label": {"$regex": "^.*"}}});
● CRC32 используется в session_authenticator.generate(drone_id, label);
● В flight plan можно вызвать get_var (sploit_flight_plan.py) помимо "стандартных" операций типа BOOSTX/BOOSTY/FIRE/SETFREQ, func = globals().get(command_name) — get_var входит в globals.
Оба сервиса были успешно атакованы еще до открытия сети, firstblood'ы произошли в первый час: flysim решили p7dtTrm, а charlie +rwx /mshp/team справились с сервисом filtranator.
По итогам Школьного зачета призовые места распределись следующим образом:
1 место - p7dtTrm
2 место - charlie +rwx /mshp/team
3 место - Pudge Fun Club
21 декабря состоялся Полуфинал Академического и Смешанного зачетов, в рамках которого 19 команд сражались за 4 путевки в суперфинал (по 2 для каждого зачета). Для них были представлены 4 сервиса более высокого уровня сложности:
ark (автор @pomo-mondreganto) – сервис на rust, представляющий cold-хранилище для кода с ограниченной квотой на хранение. Выходящие за пределы квоты файлы удаляются. Другие пользователи могут сохранить файл в рамках своей квоты, но прочитать его не смогут – доступ остается только у владельца:
aquarius (автор @falamous) – сервис на C++, позволяющий загружать и запускать Тьюринг-полные виртуальные машины, которые могут читать и писать в stdin/stdout;
crypter (автор @falamous) – сервис по шифрованию данных на C++, который позволяет регистрироваться и писать шифрованные сообщения другому пользователю;
docs (автор @jnovikov) – сервис на python и rust, представляющий онлайн-платформу для создания и совместного редактирования документов внутри организации.
За полтора часа до конца LCD атаковали aquarius, остальные 3 fb в течение дня принадлежат команде dtl.
По итогам второго дня соревнований в суперфинал вышли LCD и Drovosec в Смешанном зачете и dtl и VDNKh в Академическом.
Суперфинал Кубка CTF России прошел в необычном формате, который сочетал взлом игрового движка и элементы соревновательного программирования. Участникам выдали исходный код игры, написанной на Go, уровень с четырьмя предметами для сбора и подключение к игровому серверу. Их задача заключалась в том, чтобы собрать как можно больше предметов, используя креативные подходы: написание читов, поиск багов в коде и обход игровых ограничений.
Чтобы обеспечить честность соревнований, сервер проверял каждое действие игроков. После каждого хода клиент отправлял серверу контрольную сумму состояния игры и ввод игрока. Сервер воспроизводил это действие, сверял контрольную сумму и, при обнаружении несоответствия, фиксировал нарушение. Такая система позволяла блокировать грубые читы вроде телепортации или wall-hack, но оставляла простор для изобретательности — участники могли использовать slow-mode, свободную камеру и другие приемы.
Финал состоял из трех уровней, на каждом из которых нужно было собрать четыре предмета за 2 часа. Соревнование оказалось очень динамичным: команды стремились быстро находить уязвимости и внедрять свои решения, но успевали завершить уровень полностью только в последние минуты. Это добавило напряжения и зрелищности происходящему.
Такой формат стал настоящим испытанием для команд и интересным опытом для разработчиков. Игровая механика не только проверила технические навыки участников, но и дала возможность по-новому взглянуть на подход к созданию CTF-сервисов.
По итогам последнего дня мероприятия стали известны победители двух взрослых зачетов:
● Победитель Академического зачета: dtl;
● Победители Смешанного зачета: Drovosec.
Зрителям и гостям мероприятия в день финала был предложен проект «Умный дом» — любимая активность участников «Летней Школы CTF». За решение заданий участники могли получить эксклюзивный мерч Кубка.
Призовой фонд
Команды победителей соревнований получили фирменные кубки, футболки, денежный приз в размере 250 000 рублей на команду, традиционные подарки от партнеров и дипломы победителей.
Все участники очных этапов получили фирменные футболки, бумажные версии легенды и сертификаты участников. Партнеры мероприятия подготовили для ребят фирменный мерч: шопперы, термокружки, зарядные устройства, стикеры, балаклавы и фонарики.
Отдельно стоит рассказать о самом молодом участнике – на момент проведения финала в Школьном зачете ему было 15 лет. Член жюри Илья Дерлыш принял решение отдельно наградить участника и вручил ему персональный подарок.
Оргкомитет VIII Кубка CTF
Организаторы, волонтёры и приглашённые гости совместными усилиями провели соревнования на высоком уровне. Вклад каждого участника в успех мероприятия был значим. Благодаря коллективной работе удалось создать атмосферу сотрудничества и взаимопомощи, что помогло успешно провести соревнования.
В этом году Оргкомитет, отвечающий за стратегическую подготовку к Кубку, вновь возглавил действительный член АИН, член-корреспондент РАЕН и Академии Криптографии, лауреат Государственной премии, к.ф-м.н Виктор Пярин.
В состав Оргкомитета также вошли:
- Александр Будников – председатель жюри, управляющий директор по информационной безопасности, ПАО АФК «Система»;
- Евгений Хасин – заместитель директора Департамента обеспечения кибербезопасности Минцифры России;
- Андрей Арбузов – исполнительный директор ФСП;
- Дмитрий Бархатов – Председатель Координационного совета, Всероссийское общественное движение наставников детей и молодежи «Наставники России»;
- Дмитрий Шевцов – начальник управления ФСТЭК России;
- Андрей Масалович – президент Консорциума «Инфорус», к.ф-м.н.;
- Юрий Войнов – начальник Департамента информационных технологий, связи и защиты информации, МВД России;
- Артем Избаенков – директор облачной платформы Solar Space ГК «Солар»;
- Виктор Минин – председатель правления АРСИБ;
- Владислава Васильева – заместитель директора направления «Безопасная Открытая Инфраструктура» АНО «Цифровая экономика»;
- Игорь Бирюков – руководитель Киберхаба Фонда «Сколково»;
- Алексей Катусов – начальник Управления информационной безопасности ДИТ города Москвы;
- Ника Комарова – консультант по стратегическим коммуникациям.
- Подготовкой к мероприятию занималась проектная команда АРСИБ:
- Дарья Логинова – куратор проекта, C4T BuT S4D;
- Максим Смирнов – технический директор;
- Ольга Зеленцова – организатор;
- Виктория Лепилова – организатор;
- Дмитрий Молчанов – организатор;
- Анри Галилея – мангака;
- Евгений Карелин – редактор;
- Павел Николаев – технический специалист;
- Антон Зеунов – frontend-разработчик;
- Роман Никитин – DevOps, C4T BuT S4D;
- Иван Новиков – разработчик, C4T BuT S4D;
- Артем Михеев – разработчик, C4T BuT S4D;
- Никита Покровский – разработчик, C4T BuT S4D;
- Иван Федотов – разработчик, C4T BuT S4D;
- Алексей Соколовский – разработчик, C4T BuT S4D;
- Любовь Наливайко – ведущая трансляции;
- Елизавета Антонова – корреспондент трансляции;
- Константин Соколов – backend-разработчик;
- Яна Губарева – графический дизайнер;
- Мария Терентьева – графический дизайнер;
Маргарита Рублева – старший графический дизайнер.
И, конечно же, мероприятие не могло бы состояться без опытной команды членов жюри:
- Будников Александр – управляющий директор по информационной безопасности, ПАО АФК «Система»;
- Бугров Владимир – заместитель начальника Департамента технической защиты информации Главного научно-исследовательского вычислительного центра Управления делами Президента Российской Федерации;
- Волков Сергей – начальник отдела информационной безопасности, АО «ГОЗНАК»;
- Дерлыш Илья – эксперт информационной безопасности, Росатом;
- Кадер Михаил – архитектор по информационной безопасности, Positive Technologies;
- Карелова Ольга – независимый эксперт;
- Марков Алексей – президент группы компаний ГК «Эшелон», доктор технических наук, лауреат премии Правительства РФ в области науки и техники;
- Минаков Сергей – заместитель генерального директора АНО НТЦ ЦК, старший научный сотрудник Академии криптографии РФ;
- Масалович Андрей – генеральный директор ООО «Лавина Пульс»;
- Михайленко Наталья – доцент кафедры противодействия преступлениям в сфере ИТТ, Московский университет МВД России им. В.Я. Кикотя, кандидат юридических наук, доцент Вице-президент Московского регионального отделения Международной полицейской ассоциации;
- Лоскутова Олеся – заместитель начальника центрального вычислительного центра, Главный информационно-аналитический центр МВД России;
- Овчинников Александр – начальник отдела информационной безопасности, ООО «М13 ИТ УСЛУГИ».
СМИ о Кубке CTF
В этом году ТАСС стал генеральным информационным агентством Кубка CTF России. Это укрепило позиции турнира и всего CTF-движения в стране.
13 декабря 2024 состоялась конференция в ТАСС «"Белые хакеры" для кибербезопасности. Финал VIII международного турнира "Кубок CTF России"». В её рамках поднимался разговор о современных киберугрозах, острой кадровой ситуации в сфере информационной безопасности России, поиске молодых специалистов в школах и ВУЗах, а также результатах отборочных этапов Кубка CTF.
В пресс-конференции приняли участие:
● Виктор Минин, организатор «Кубка CTF России»;
● Сергей Ерохин, ректор МТУСИ;
● Владимир Кикнадзе, заместитель директора департамента госполитики в сфере воспитания;
● Константин Закатов, директор департамента информационной безопасности ГК «Аквариус»;
● Александр Будников, управляющий директор по информационной безопасности АФК «Система», председатель жюри Кубка;
● Дмитрий Бархатов, председатель координационного совета ВОД «Наставники России», соорганизатор Кубка.
Ознакомиться с материалами пресс-конференции можно по ссылке: https://tass.ru/novosti-partnerov/22665321.
Также ТАСС выпустило публикацию в рамках информационной поддержки проведения Кубка CTF России 2024: https://tass.ru/ekonomika/22212155.
Репортаж с мероприятия опубликовали корреспонденты НТВ: https://www.ntv.ru/novosti/2867321/.
О мероприятии рассказывали такие интернет-издания, как:
● НЬЮМ: https://newm-project.ru/media/12828;
● Cyber media: https://securitymedia.org/news/khakery-na-vdnkh-novogodniy-final-glavnogo-molodezhnogo-turnira-po-kiberbezopasnosti-kubka-stf-rossi.html.
● Международная жизнь: https://interaffairs.ru/news/show/48441.
Дополнительно:
Все три дня мероприятия сопровождались прямой трансляцией. В этом году она особенно поразила своим качеством и уровнем погружения зрителя в процесс. Помимо соревнований, в эфир выходили представители компаний-партнеров, оргкомитета, жюри и разработчики.
LIVE Школьный финал:
https://vkvideo.ru/video-153821859_456239053?ref_domain=ctfcup.ru.
LIVE Полуфинал:
https://vkvideo.ru/video-153821859_456239054?ref_domain=ctfcup.ru.
LIVE Суперфинал:
https://vkvideo.ru/video-153821859_456239055?ref_domain=ctfcup.ru.
Сайт мероприятия: https://ctfcup.ru/.
Группа ВКонтакте: https://vk.com/ctfcup.
Телеграм-канал: https://t.me/ctfcup24.
Репозитории заданий
Школьный финал:
https://github.com/acisoru/ctfcup24-school-ad/.